64bitアプリケーションのPEBからImageBaseを取得してみる Windowsにおいて各プロセスはエグゼクティブプロセス(Executive Process:EPROCESS)構造体によって表現される。 この構造体にはプロセスに関する多くの情報が保持されており、たとえば、複数のスレッ…

LoadLibrary,CreateRemoteThreadを使ったDLL Injectionをやってみる DLLインジェクションの紹介記事なんて何番煎じだよという声が聞こえてきそうですが、DLLを使った攻撃は多くの派生版があり、それらを理解するにはまず最も基本的なLoadLibrary,CreateRemot…

NtUnmapViewOfSecitonによるProcess Hollowingをやってみる 本記事は IPFactory Advent Calendar 2019 - Qiita 19日目の記事です。 qiita.com Ntdll.dllからエクスポートされるNtUnmapViewOfSectionによるProcess Hollowingをやってみる。 Process Hollowing…